【問題43】
金融分野における個人情報保護に関するガイドライン第13条に定める第三者提供の制限(個人情報保護法(注)第23 条関連)についての次の①〜④の記述のうち、その内容が適切なものを1つだけ選び、解答欄にその番号をマークしなさい。
① 第三者とは、個人データを提供しようとする個人情報取扱事業者、当該個人データに係る本人及び本人の親族のいずれにも該当しないものをいい、自然人、法人その他の団体を問わない。
② 個人情報保護法第23 条に定める「個人データの管理について責任を有する者」は、共同して利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理に責任を有する者をいう。
③ 個人情報取扱事業者は、利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合、当該個人データによって識別される本人からその同意を得なければならない。
④ 個人情報取扱事業者は、合併その他の事由による事業の承継に伴って個人データが提供される場合、当該個人データによって識別される本人からその同意を得なければならない。
(注) 個人情報保護法とは、個人情報の保護に関する法律をいう。
【正解】 ②
①(×)「第三者」とは、個人データを提供しようとする個人情報取扱事業者及び当該個人データに係る本人のいずれにも該当しないものをいい、自然人、法人その他の団体を問わない(同ガイドライン13条2項)。
②(○)「個人データの管理について責任を有する者」は、共同して利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理に責任を有する者をいう(同ガイドライン13条7項)。
③(×)金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督をしなければならない(同ガイドライン12条1項)。
④(×)個人情報取扱事業者は、法令で定める場合を除いて、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないが、下記事項の場合には「第三者」に該当しない(個人情報保護法23条4項)。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。